web-dev-qa-db-fra.com

Impossible de passer les analyses PCI pour la conformité de vulnérabilité SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS

J'essaie de passer un scan pci, je suis sur le serveur Ubuntu 12.04 lts et sur Nginx. J'ai essayé tout ce que je savais et fait beaucoup de recherches ... apparemment, il semble nécessaire de désactiver un paramètre dans OpenSSL, ce que je ne trouve pas comment faire.

C'est le résultat de l'analyse:

Vulnérabilité de divulgation d'informations liée à la mise en oeuvre de vecteurs d'initialisation de protocole SSL/TLS www (443/tcp)

Score CVSS: Moyen 4.3 - Échec

CVE-2011-3389

et voici la solution suggérée par la société de numérisation pci:

Configurez les serveurs SSL/TLS pour qu'ils n'utilisent que TLS 1.1 ou TLS 1.2 s'ils sont pris en charge. Configurez les serveurs SSL/TLS pour ne prendre en charge que les suites de chiffrement n'utilisant pas de chiffrements en bloc. Appliquez des correctifs, le cas échéant.

OpenSSL utilise des fragments vides comme contre-mesure sauf si l'option 'SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS' est spécifiée lors de l'initialisation d'OpenSSL.

Je ne sais pas comment faire cela, j'ai tout essayé, aidez-moi, je deviens fou :)

Comment désactiver cette option SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS ???

Remarque: tlsv1.1 et tlsv1.2 ne sont pas activés pour le moment. J'ai mis à niveau vers les dernières versions de toutes (Ubuntu 12.04 lts, ​​nginx1.2.7 et openSSL 1.0.1). J'ai lu que les dernières versions traitent le problème (ceci n'est pas supporté par défaut). Mais je reçois exactement le même rapport de l'analyse.

Voir Ci-dessous la configuration de mon serveur Web, j'ai fait tout ce que j'avais avec des chiffrements, obtenant toujours le même résultat:

server {

    listen 192.xxx.xx.xx:443 ssl;

      server_name mydomain.org alias *.mydomain.org;

    keepalive_timeout   70;

    # ssl_ciphers RC4:HIGH:!aNULL:!MD5:!kEDH;

    ssl_ciphers ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH;

    ssl_prefer_server_ciphers on;

    ssl_protocols SSLv3 TLSv1.1 TLSv1.2;


    ssl_session_cache shared:SSL:10m;

    ssl_session_timeout 10m;
12.04servernginxopenssl
4
Chaimy

Cela ressemble à un faux positif. Si vous exécutez le dernier package OpenSSL le 12.04, vous ne devriez pas en être affecté.

Selon cette mise à jour publiée il y a quelques jours, le package OpenSSL n'est pas affecté et Nginx ne figure pas dans la liste des packages concernés en ce qui concerne ce fichier CVE.

Je recommanderais de consulter la liste dans le lien fourni ci-dessus et de voir si des packages installés sur le système sont susceptibles d'être affectés par cette vulnérabilité.

La dernière version du référentiel pour OpenSSL est la 1.0.1-4ubuntu5.7 et devrait déjà avoir des contre-mesures en place pour cette vulnérabilité car celle-ci était mise à jour en amont par Debian il y a quelque temps. Voir Launchpad pour plus de détails.

Si aucun de ces packages ne se trouve sur votre système, je m'interrogerais sur la validité du logiciel qui vous a alerté (possède-t-il toutes les signatures CVE les plus récentes?, Etc.) et, dans la mesure du possible, vérifiez votre système avec un autre scanner.

2
Kevin Bowen